教育行業網絡安全的重要性及防護

文|

隨著信息化的不斷發展，信息安全上升到關系社會穩定、經濟發展和公民權益的地位，成為國家安全的重要組成部分。

習總書記提出，“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施”。可見，信息化和網絡安全同等重要，我們在信息化發展中，建設信息系統時，應認識到信息系統可用性與安全性同等重要，不能只重視可用性而忽略安全性。

一、教育行業網絡安全現狀及隱患

信息化建設發展至今，成果喜人，尤其是近年來教育信息化發展迅速。2012年9月5日，劉延東（時任國務委員）在全國教育信息化工作電視電話會議上提出：“十二五”期間，要以建設好“三通兩平臺”為抓手，也就是“寬帶網絡校校通、優質資源班班通、網絡學習空間人人通”，建設教育資源公共服務平臺和教育管理公共服務平臺。之后，各級教育主管部門逐漸建成自己的門戶網站，進行教育業務辦理、共享教學資源等。目前，許多學校及教學機構都自建了教務管理系統等。

各級各類教育類網站、信息系統的建設運行，在方便了教育行業的同時，也存在著極大的網絡安全隱患。其中影響比較大的有三大類：第一類是統計類系統平臺，存有大量的個人信息，尤其是學生管理類和教師管理類信息系統，系統內存有學生和教師的戶口、家庭住址、銀行卡號等個人隱私信息，數據的安全極為重要；第二類是教育資源類網站，此類網站供大量學生瀏覽教學資源，傳播廣泛，是不法黑客攻擊并篡改的首要對象；第三類是教育政務辦理類系統，各級各類教育管理部門政務辦理類系統涉及學生中考、高考、學業水平測試、崗位招聘考試等，此類系統遭到攻擊，將嚴重影響社會秩序。

二、常見的網絡安全誤區

目前,仍有相關網站及系統的管理、維護、使用人員對網絡安全問題認識不足。常見的網絡安全誤區有以下幾種：

1.先建系統，后做安全，將網絡安全部署工作安排在信息系統建成或投入使用之后。

其實，網絡安全是由內而外的，對于已經建成的系統所做的安全措施，只能對系統的外圍進行安全防護，一旦外部安全防護被攻破，內部環境將不堪一擊。因此，應在系統開發環節就做好安全建設，網絡安全與信息系統的生命周期并存，部署在其開發、運行、廢棄的各個環節。

2.網絡安全是技術人員的主要職責，與系統管理人員和系統使用人員無關。

經由多個網絡安全技術公司統計與分析，一套網絡系統，安全薄弱的環節大多存在于系統使用人員操作和訪問系統的個人PC端存在安全隱患，而非系統本身。歷年來全球重大網絡安全事故，90%源自管理制度問題和人員操作不當導致。

3.存有僥幸心理，認為網絡安全問題離自己很遙遠。

目前我國面臨的網絡威脅日趨嚴重，近日被曝出的一個反政府黑客組織，其技術人員有一萬人以上，并且十分活躍，平均每三日攻陷一個政府網站。同時，我們還面臨著源自海外的諸多網絡安全威脅，網絡安全與我們每一個人息息相關。

三、教育行業應對網絡安全威脅的基本防護策略

網絡安全固然重要，但人們并非束手無策。由于網絡信息系統及網站面向大眾、服務大眾，所以，我們不能要求每一個有關人員具備高超的網絡安全技術。尤其是教育行業，其服務對象有貧困地區的教師與學生，更無法對其有嚴格的網絡安全技術要求。其實，網絡安全問題的基礎預防與處理并不復雜，以近期大面積爆發的針對Windows系統的WannCry勒索病毒為例，其防護措施僅有兩大項：一是開啟Windows自帶的防火墻功能，將相應端口設為“拒絕被訪問”；二是下載現有的相應系統漏洞補丁，做漏洞補丁安裝。這兩類處理方法一般計算機使用者參照網上教程都可自行完成。由此可見，網絡安全的基本保障策略并不復雜，所以對于網絡安全保障，各教育行業的網站做好以下幾點，便可減少80%的網絡安全風險，保障信息系統和網站的可用性與安全性并行。

1.建立信息安全管理體系，明確職責劃分，制定安全制度。

做好網絡安全工作，應將安全管理體系化、常態化，并明確網站及信息系統的安全職責劃分。首先，應當確立主管人員，堅持“誰主管誰負責，誰運營誰負責”的原則。只有主管人員對信息安全足夠重視，明確提出安全要求，表現出足夠的重視和支持，組織中其他人員才會認識到信息安全的重要性，并在工作中遵守相關的要求。

對于技術人員，至少要分清系統管理員、系統技術負責人和安全技術負責人三大基本類別。系統管理員要對網站或系統各個環節都有所了解，對所有工作人員進行安排和進度督促，但不進行具體操作；系統技術負責人僅負責網站或系統的運維工作；安全技術負責人僅負責網絡安全類工作。三類負責人職責明確，工作內容不得交叉，互相制約，更不能出現一人負責兩類或兩類以上工作。

此為技術工作最基本要素，可根據網站及系統的重要程度進行更細化的職責劃分，如系統技術負責人可細分硬件、軟件、安裝、備份、維護、升級等，安全技術負責人可細分為內部安全、外部安全、身份認證管理、密保管理等。

對系統使用人員，也應當有相應的安全要求，最基本的有定期修改各自用戶的弱口令，口令命名應含有大寫字母、小寫字母、符號、數字等兩種以上要素；登錄系統個人端PC機本機應當具有最基本的安全策略，如開啟系統自帶的防火墻、裝有漏洞升級軟件并定期進行漏洞升級等。重要系統和網站可規定對用戶有更高級的要求，專門配備用于登錄系統的個人PC機、專用網絡環境等。

2.做好定級備案工作，定期進行信息安全等級保護自查評估。

各關鍵網站和信息系統應在當地公安局備案，并由公安部會同有關部門制定安全等級。

公安機關對計算機信息系統安全保護工作行使下列監督職權：一是監督、檢查、指導計算機信息安全保護工作；二是查處危害計算機信息系統安全的違法犯罪案件；三是履行計算機信息系統安全保護工作的其他監督職責。因此，做好定級備案工作，是網站及系統的最基本保障。

而定期進行信息安全等級保護自查評估，可以定期排查網站及系統安全隱患，確保系統對未知的安全威脅有相應的防護能力。

3.做好應急預案及演練，接受相應安全風險。

網絡安全威脅是不可避免的，現有的安全防護策略是被動的，從技術層面來講，安全防護等級越高，意味著攻擊者攻陷該網站的時間周期越長，而我省教育系統內網站及系統以二級安全居多，所以，我們應當正視網絡安全風險，做好相應的應急演練并接受高等級的不可避的安全風險。

接受風險，并做好應急預案和演練，是為確保在遇到不可抗因素和高級網絡安全風險來臨之時將風險損失降至最低。